AWS S3 对象版本控制已暂停

识别 Amazon S3 存储桶的对象版本控制何时被暂停。对象版本控制允许同一存储桶中存在对象的多个版本。这便于恢复已删除或被覆盖的对象。当存储桶的对象版本控制被暂停时，可能表明攻击者试图在恶意活动后阻止系统恢复。此外，当版本控制被暂停时，存储桶可以被删除。

规则类型: eql

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 中等

风险评分: 47

每隔: 5m 运行

搜索索引时间范围: now-6m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

领域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS S3
用例：威胁检测
战术：影响

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 AWS S3 对象版本控制已暂停

此规则检测 S3 存储桶的对象版本控制何时被暂停。具有对配置错误的 S3 存储桶访问权限的攻击者可能会在替换或删除 S3 对象之前禁用对象版本控制，从而阻止恢复工作。此规则使用 EQL 来查找 PutBucketVersioning 操作的使用情况，其中 request_parameters 包括 Status=Suspended。

可能的调查步骤

识别行为者: 查看 aws.cloudtrail.user_identity.arn 和 aws.cloudtrail.user_identity.access_key_id 字段以识别执行此操作的用户。验证此行为者是否通常执行此类操作，以及他们是否具有必要的权限。
分析请求来源: 调查 source.ip 和 source.geo 字段以确定请求的地理来源。外部或意外位置可能表明凭据被泄露或未经授权的访问。
与其他活动关联: 在此操作之前和之后搜索相关的 CloudTrail 事件，以查看相同的行为者或 IP 地址是否参与了其他可能可疑的活动。
检查对象删除或访问情况: 查找对同一 S3 存储桶的 DeleteObject、DeleteObjects 或 GetObject API 调用，这可能表明攻击者访问并销毁了对象，包括旧的对象版本。
采访相关人员: 如果复制事件是由用户发起的，请与负责管理 S3 存储桶的人员或团队核实此操作的意图和授权。

误报分析

合法的管理操作: 确认此操作是否与变更管理系统中记录的合法管理任务一致。
一致性检查: 将此操作与用户或组织执行的类似活动的历史数据进行比较。如果此操作与过去的合法活动一致，则可能表明这是一个误报。

响应和补救措施

立即审查: 如果活动未经授权，请搜索已替换或删除的对象，并查看存储桶的访问日志中是否有任何可疑活动。
教育和培训: 为具有管理权限的用户提供有关 S3 存储桶管理的安全最佳实践以及勒索软件风险的重要性的额外培训。
审核 S3 存储桶策略和权限: 对所有 S3 存储桶策略和关联的权限进行全面审核，以确保它们符合最小权限原则。
事件响应: 如果有恶意意图或安全漏洞的迹象，请启动事件响应协议以减轻任何损害并防止将来发生。

其他信息

有关管理 S3 存储桶安全性和防止勒索软件的进一步指南，请参阅 AWS S3 文档和 AWS 安全最佳实践。此外，请参阅以下资源以获取有关 S3 勒索软件防护的具体详细信息： - ERMETIC 报告 - AWS S3 勒索软件在野暴露 - S3 勒索软件第 1 部分：攻击载体

规则查询

编辑

any where event.dataset == "aws.cloudtrail"
   and event.action == "PutBucketVersioning"
   and event.outcome == "success"
   and stringContains(aws.cloudtrail.request_parameters, "Status=Suspended")

框架: MITRE ATT&CK^TM

战术
- 名称：影响
- ID：TA0040
- 参考网址：https://attack.mitre.org/tactics/TA0040/
技术
- 名称：阻止系统恢复
- ID：T1490
- 参考网址：https://attack.mitre.org/techniques/T1490/

« 使用外部 KMS 密钥的 AWS S3 对象加密 AWS SNS 罕见用户电子邮件订阅 »